Hayatta emin olabileceğiniz üç şey vardır: ölüm, vergiler ve yeni CVE’ler. CentOS 8’e güvenen kuruluşlar için artık kaçınılmaz olan gerçekleşti ve bu uzun sürmedi. Resmi yaşamın sonuna ulaştıktan sadece iki hafta sonra, bir şey olağanüstü bir şekilde kırıldı ve CentOS 8 ciddi bir saldırı riski altında olan ve CentOS desteği olmayan kullanıcılar.
Bu sorunun artık önemli sayıda kuruluşu etkilemediğini düşünürdünüz çünkü şimdiye kadar şirketler CentOS 8’den satıcılar tarafından aktif olarak desteklenen bir işletim sistemine geçmiş olacaktı. Sonuçta, satıcı desteği güvenlik ve uyumluluk için kritik öneme sahiptir.
Ancak bu şeylerde her zaman olduğu gibi, risklerin farkında olmalarına rağmen, büyük bir CentOS 8 kullanıcısının desteklenmeyen bir işletim sistemi ile askerlik yaptığı gerçeğine güvenebilirsiniz. Bu risk artık kristalleşirken, incelemek için bu makaleyi kullanıyoruz CVE-2021-4122LUKS şifrelemesinde yeni keşfedilen güvenlik açığı ve bunu azaltmak için seçeneklerinizi tartışmak için.
Bekle, LUKS nedir?
Öyleyse ne LÜKS? LUKS, Linux Birleşik Anahtar Kurulumu anlamına gelir ve diğer şeylerin yanı sıra tam disk şifrelemeyi desteklemek için Linux destekli sistemlerde kullanılan bir mekanizmadır. Birçok “en iyi uygulama” kılavuzunda, güvenlik odaklı BT ekipleri için temel bir sistem sağlamlaştırma seçeneği olarak önerilir.
LUKS nasıl çalışır? Peki, sistem dağıtımı sırasında, kullanıcı tarafından sağlanan bir parola ile yalnızca okunabilir – yani içindeki veriler yalnızca anlaşılabilir – bir bölüm oluşturabilirsiniz. LUKS oldukça karmaşıktır ve birçok güvenlik sistemi LUKS ile etkileşime girer, ancak bu makalenin amacı kapsamlı bir LUKS kılavuzu değildir.
Tamamen şifrelenmiş bir diske sahip olmak (Linux “speak’te blok aygıtı”), verilerin hareketsizken bile meraklı gözlerden korunmasını sağlar; bu, örneğin bir dizüstü bilgisayarı çalan bir saldırganın, içinde bulunan gizli verileri hala görüntüleyemediği anlamına gelir. o.
TPM (Güvenilir Platform Modülü) aracılığıyla belirli bir blok cihazını belirli bir bilgisayara bağlayarak güvenliği daha da geliştirebilirsiniz. Bu, bir saldırgan için başka bir engel ekleyerek, bir makineden şifreli verileri fiziksel olarak çekmeyi ve verilere kaba zorlama erişimi amacıyla yüksek performanslı bir sisteme bağlamayı zorlaştırır. Her zaman olduğu gibi, bunun ne kadar başarılı olacağı bilgi işlem gücüne, seçilen şifreleme algoritmasına ve tamamen şansa bağlıdır.
Genel olarak, LUKS mükemmel koruma sağlar ve bu nedenle, çeşitli kuruluşlarda sistemlerin güvenliğini sağlamak için sıklıkla güvenilir.
LUKS kusurunu anlama
CVE-2021-4122 geçen yılın sonlarında atandı, ancak LUKS çevresindeki güvenlik risklerinin tam olarak anlaşılması ancak son zamanlarda ortaya çıktı. Görünüşe göre, en azından kısmen, LUKS ile şifrelenmiş bir diskin şifresini çözmek ve şifrelemeyi yapılandırmak için kullanılan şifreye sahip olmadan üzerindeki verilere erişmek mümkündür.
Anahtar LUKS özelliği, belirli bir aygıtı şifrelemek için kullanılan anahtarı anında değiştirme yeteneğidir. Bunu, örneğin, yüksek güvenlikli ortamlarda programlanmış anahtar rotasyonları için yaparsınız.
Bu anında yeniden şifreleme özelliği, cihazın anahtar değiştirme işlemi sırasında kullanılabilir durumda kalması anlamına gelir. Buna “çevrimiçi yeniden şifreleme” denir – bu, çevrimiçi ve aktif kullanımdayken bir diski farklı bir anahtarla yeniden şifreleme yeteneğini ifade eder.
Bu süreçte bir güvenlik açığı tespit edildi. Ne yaptığınızı biliyorsanız, bu işlemi orijinal, güncel, şifreye sahip olmadan gerçekleştirebileceğiniz ortaya çıktı. Parola olmadan bile yeniden şifreleme talebinde bulunabilirsiniz.
Kusurdan yararlanıldığında, bu işlem iptal edilmiş gibi görünecek ve verilerin bir kısmı şifrelenmemiş olarak sunulacaktır. Cihaz hiçbir noktada anormal bir davranışla karşılaşmaz, bu nedenle yalnızca blok cihaz durumuna bakarak işlemi yapan bir saldırganı tespit etmek zor olacaktır.
Güvenlik açığı bilgilerin açığa çıkmasına neden olabileceğinden, sistem yöneticilerine, LUKS’u destekleyen paket olan cryptsetup’ı kontrolleri altındaki tüm sistemlerde yükseltmeleri şiddetle tavsiye edilir.
Tamam, o zaman yama yapıp devam edeceğim…?
Aynen öyle. Etkilenen paketi değiştirerek her sistem yöneticisinin sistemlerinde yapması gereken budur. Ancak bazı sistem yöneticileri için bunu söylemek yapmaktan daha kolay olacaktır. Hangi sistem yöneticileri zor zamanlar geçirecek? Doğru tahmin ettiniz – hala CentOS 8’e güvenenler.
Çoğu satıcı hata hakkında erken uyarıda bulundu ve şimdiden dağıtımları için güncellenmiş paketler sağlıyor. Ve CentOS’u destekleyen Red Hat ile aynı. Ancak, CentOS 8 artık resmi olarak desteklenmediğinden, LUKS kusuru için bir CentOS 8 yaması görünmeyecektir.
CentOS 8 kullanıcıları için işler bu nedenle oldukça kasvetli. Yama uygulanmamış sistemler, yayınlanmış ve yaygın olarak bilinen bir kusur nedeniyle veri hırsızlığına karşı savunmasızdır. Bu ciddi bir durum ve öyle ya da böyle, etkilenen paketin güncel yamalı sürümlerini dağıtmalısınız.
Gizli veriler risk altındayken hiçbir şey yapmamak bir seçenek değildir. Ve aslında, tüm verileriniz gizlidir ve kamuya ifşa edilmez (aksi takdirde zaten kamuya açıklanırdı) ve ifşayı önlemek için tam olarak LUKS gibi bir tam disk şifreleme çözümüne güveniyorsunuz.
Hâlâ CentOS 8 kullanıyorsanız yama seçenekleriniz
Etkilenen Linux sistemlerine güvenen sistem yöneticileri, kullanım ömürlerinin sonuna kadar çalışan iki yol vardır. Seçeneklerden biri, yukarı akış proje kaynağını indirmek ve yerel olarak derlemek, bir yedek sistem paketi oluşturmaktır. Diğer seçenek, artık orijinal satıcı tarafından yayımlanmayan yamaları sağlayacak bir genişletilmiş destek sağlayıcısıyla anlaşmaktır.
Yerel olarak oluştur yaklaşımının dezavantajları vardır. İlk olarak, orijinal proje kaynak kodu, belirli bir dağıtım için herhangi bir özel tahsisat yapmaz. Her dağıtım veya dağıtım ailesinin hepsinin kendi tuhaflıkları vardır. CentOS’u içeren RHEL ailesi de bu tuhaflıklara sahip olacak.
Buna ikili konumlar, hizmet başlatma yapılandırmaları, ayarlar vb. dahildir. Yerel ekibiniz bunları manuel olarak ayarlamak zorunda kalacak. Yerel BT ekibinizin gerekli uzmanlığa sahip olup olmadığı farklı bir sorudur. Benzer şekilde, teknik ekipler genellikle işleri halletmek için baskı altındayken, kendin yap yama çalışmanızın gecikmesi riski vardır. Ayrıca LUKS proje sayfasında kendisi, bu uğursuz “cryptsetup’ı manuel olarak yapılandırmak için lütfen her zaman dağıtıma özel derleme araçlarını tercih edin” var.
Alternatifiniz, genişletilmiş destek sağlayıcılarını bu sorunu ele almak için güvenilir, uygun maliyetli ve daha kolay bir yaklaşım olarak düşünmektir. TuxCare’in Uzatılmış Yaşam Döngüsü Desteği hizmet sadece bunu yapar. TuxCare, CentOS 8 gibi kullanım ömrü sonu dağıtımları için yüksek kaliteli yamalar sunar ve bunu zamanında yapar.
Dahası, yamalar için de tam destek alırsınız. Dağıtım basittir, TuxCare yamalarını satıcı tarafından desteklenen yamalar kadar kolay bir şekilde dağıtırsınız.
Harekete geçmelisiniz – şimdi
Harici desteğe gitmemeye karar verirseniz, sistemlerinizi yeni güvenlik açığına karşı korumak için hemen şimdi bir şeyler yapmalısınız. Mermiyi ısırmaya ve cryptsetup ve bağımlılıklarını yerel olarak derlemeye ve dağıtımı tüm sistemlerinizde gerçekleştirmeye karar verebilirsiniz.
Ama kesinlikle CentOS 8’i etkileyen son CVE değil. Size bahsettiğimiz şeyin kapsamı hakkında bir fikir vermek için: bugün bile CentOS 6 sistemlerini etkileyen açıklar hala ortaya çıkıyor. CentOS 8’i etkileyen sürekli bir CVE akışıyla uğraşmaya devam etmek uzun vadede ne kadar uygulanabilir?
Şu veya bu nedenle bir alternatife geçmeniz engellendiğinden, şu anda CentOS 8 çalıştırıyor olabilirsiniz. Uyumluluk, destek veya birden çok nedenden biri olabilir.
Güvenlik açıkları EOL tarihinde sona ermeyecek, bu nedenle BT ekipleriniz için hayatı kolaylaştırın, güvenlik profesyonelleriniz için daha güvenli hale getirin ve işletmeniz için yama uygulamayla ilgili uyumluluk gereksinimlerini karşılayın – kontrol edin TuxCare’in hizmet ailesive özellikle Uzatılmış Yaşam Döngüsü Desteği. etkileyen yeni CVE’lere karşı sürekli koruma elde etmenin sağlam bir yoludur. CentOS 8 – size başka bir işletim sistemine geçmeniz için zaman kazandırır.